ГлавнаяБаза уязвимостей БДУ → BDU:2025-00917
5средняя

BDU:2025-00917 (CVE-2024-54133)

Уязвимость функции content_security_policy расширения Action Pack интерпретатора Ruby, позволяющая нарушителю проводить межсайтовые сценарные атаки(XSS)
Опубликовано: 2025-01-31
Описание

Уязвимость функции content_security_policy расширения Action Pack интерпретатора Ruby связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
openSUSE TumbleweedRed Hat 3scale API Management Platform (2)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Satellite (6)Action Pack (от 5.2.0 до 7.0.8.7)Action Pack (от 7.1.0 до 7.1.5.1)Action Pack (от 7.2.0 до 7.2.2.1)Action Pack (от 8.0.0 до 8.0.0.1)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
https://github.com/rails/rails/commit/2e3f41e4538b9ca1044357f6644f037bbb7c6c49
https://github.com/rails/rails/commit/3da2479cfe1e00177114b17e496213c40d286b3a
https://github.com/rails/rails/commit/5558e72f22fc69c1c407b31ac5fb3b4ce087b542
https://github.com/rails/rails/commit/cb16a3bb515b5d769f73926d9757270ace691f1d
https://github.com/rails/rails/security/advisories/GHSA-vfm5-rmrh-j26v

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-actionpack-cve-2024-54133/?sphrase_id=643985

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-54133

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-54133

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-54133.html

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rails до версии 2:6.1.7.10+dfsg-1~deb12u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-actionpack-cve-2024-54133/?sphrase_id=643985https://github.com/rails/rails/commit/2e3f41e4538b9ca1044357f6644f037bbb7c6c49https://github.com/rails/rails/commit/3da2479cfe1e00177114b17e496213c40d286b3ahttps://github.com/rails/rails/commit/5558e72f22fc69c1c407b31ac5fb3b4ce087b542https://github.com/rails/rails/commit/cb16a3bb515b5d769f73926d9757270ace691f1dhttps://github.com/rails/rails/security/advisories/GHSA-vfm5-rmrh-j26vhttps://security-tracker.debian.org/tracker/CVE-2024-54133
Проверьте безопасность своего сайта и почты → Полная проверка домена